KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】初動が最重要!事業継続マネジメント(BCM)と事業継続計画(BCP)

株式会社IDデータセンターマネジメント
エバンジェリスト 千葉 由紀祐      顔写真_246x319

こんにちは、エバンジェリストの千葉です。

早いもので新年度となりました。
お客様の危機管理業務に携わっている事もあり、新型コロナウイルス感染症対応も2年目となりました。感染症は予防対策を講じる事で感染リスクは減らせても、感染発生を防ぐ事はできません。
発生時の対応として、如何に1人の感染者から感染を広げないか、クラスター防止が重要なポイントとなります。そのためには感染者との接触者・接触懸念者を素早く特定・隔離し、感染有無を明確にする事が必要です。
初動対応を誤るとクラスター発生リスクが高まり、万が一クラスターが発生すると企業の事業継続に大きく影響し、BCPの発動に至るかもしれません。

今回のテーマは、事業継続計画(BCP)、事業継続マネジメント(BCM)を取り上げたいと思います。

 

最近、BCPという言葉をよく目にします。
新型コロナウイルス感染症の流行、近年増加が顕著な大型台風、地震など避けられない自然災害の発生、自動車業界の半導体不足を始めとしたサプライチェーンの途絶などの報道でBCPが取り上げられています。

 

事業継続計画(BCP)とは

BCPは事業継続計画という言葉の通り、企業が危機的状況におかれた際に、重要な事業を継続し、顧客への影響を最小限にするためにあらかじめ対応方針・体制・手順などを計画しておくものです。危機的状況における企業の行動が企業評価の明暗を分けるケースは多く、顧客の信頼を獲得し、企業の競争力・価値を高めるうえで、非常に重要です。

ITサービスマネジメントにおいても、重要事業のITサービスを継続するための計画策定は必須です。ITサービスマネジメントシステム(JIS Q 20000)ではサービス継続管理、ITIL®ではサービス継続性管理において、サービス継続計画等に基づき、サービスの継続を図る事としています。今やITサービスは企業の事業に欠かせないものである事から、BCPと深く関係しています。

 

では、BCPをどのように策定し、また運用するのが効果的なのでしょうか?

 

事業継続マネジメント(BCM)とは

BCPは重要事業を継続させるための方針や体制、手順等を示した計画と前述しましたが、BCPを策定・維持し、継続的に改善するためには事業継続マネジメント(BCM)が必要です。

BCPは策定しても、実際に使えなくては期待する効果や価値は得られません。
発動するタイミングは、自然災害や大規模システム障害などの混乱が予想される中ですから、入念な事前準備や、行動する社員一人ひとりの十分な事前認識が必要です。そのためには、予算、人、モノ、時間の確保をしないといけません。また、危機的状況を招く発生事象も、自社の事業や外部環境の変化によって増減します。このようにBCPは計画的に策定し、かつ継続的な改善が必要であり、その仕組みとしてBCMが重要となります。

BCMは、事業継続マネジメントシステム(BCMS)の国際規格IS022301:2019、国内規格JIS Q 22301:2020があり、ITSMS、QMS等と同様、認証制度があります。

また、公的な文書として、内閣府より「事業継続ガイドライン」が公表されており、2011年(平成23年)の東日本大震災後、2度目の改訂がされました。

「事業継続ガイドライン」ではBCMの全体プロセスを以下の図で表しています。

引用:『事業継続ガイドライン 第三版(平成25年8月改訂)』 内閣府 P8

 

全体プロセスの主な対応内容を纏めると以下の通りです。


「方針策定」から「見直し・改善」までの一連の取組みを繰り返し行なう事で、BCPの有効性・実効性を高める事ができます。

この一連のプロセスの中で、私が特に重要視するのは「分析・検討」における事業影響度分析(BIA)と「事前対策及び教育・訓練の実施」における教育・訓練の実施です。

 

事業影響度分析(BIA)について

危機的状況が発生した際、事業上の全ての業務を復旧し、継続する事はリソース面や時間の面などからも困難です。そのため、BIAを行なう事によって、自社における優先して継続すべき重要業務を明確にし、社内の共通認識とする事ができます。

BIAを行なう際のポイントとして、重要と考える業務毎に目標復旧時間(RTO、どのくらいの時間で復旧させるか)と目標復旧レベル(RLO、どの水準まで復旧させるか)を明確にする事です。

重要業務の優先順位付けが可能となる他、RTO、RLOを現状の復旧能力(復旧時間、復旧レベル)と比較する事で、ギャップ(ボトルネック)が明確となり、その後の事前対策などの検討が可能となります。また、BCP自体、目標復旧時間内に目標復旧レベルまで復旧させるための方針・体制・手順等を明確にした計画である事から、BCPの内容に大きく影響します。さらに、「見直し・改善」におけるBCP評価の指標・判断基準となります。

顧客影響等を踏まえて設定する事から時間も掛かりますが、その後のプロセスに大きく影響する点で重要なポイントと言えます。

 

教育・訓練について

もう1点が教育・訓練となります。私は、プロセスの中で最も重要であり、BCMの成功と失敗を左右するものと考えています。理由として、危機的状況が発生した際の初動の対応スピードが重要だからです。対応スピードを上げるためには、できる限り、その状況を事前に想定する機会を設け、体験しておく必要があります。その機会が教育であり、体験が訓練と言えます。

「事業継続ガイドライン」では教育・訓練の実施方法の例として以下の内容を挙げています。

引用:『事業継続ガイドライン 第三版(平成25年8月改訂)』 内閣府 P29-30

 

教育については、基礎知識の提供や、自社のBCMの周知、最新動向の把握が挙げられていますが、考慮ポイントとしては以下の通りです。

1. 教育の範囲

BCMの取り組みやBCPの内容は、経営層や管理職層のみが把握していれば良いものではありません。危機的状況が発生した際に、実際に行動するのは役職員全員であり、また、指揮・命令系統や緊急連絡網が機能するとは限りません。役職員全員がBCM、BCPの内容を事前に認識しておく必要があります。

2. 教育資料の開示方法

関連資料を社内イントラなどに一方通行で掲載しているだけでは不十分と言えます。危機的状況では何も参照できない状況の中、対応するケースも想定されます。eラーニングや討論会など、知識の定着状況を把握する取り組みが必要です。

3. 教育のタイミング

BCM、BCPは継続的改善により変化する事から、定期的な教育が必要です。また、新規
採用時や、組織変更・人事異動等により担当業務が変わる場合、新規事業や外部環境の変化等でBCPを見直した場合など、適切なタイミングで教育を行なう仕組み作りが重要です。

 

次に訓練に関しては、机上訓練や実働訓練など形式や実施範囲は多様ですが、検討すべき点として以下が挙げられます。

1. 訓練形式の選択

訓練形式は、参加者の理解度にあわせ、目的を明確にした上で選択する事が重要です。
・BCPの考え方や手順内容の理解を深める目的:シナリオをオープンにした机上訓練
・時間、設備、動線を確認する目的:実際に行動して身に付ける実働訓練 など
目的の明確化とそれに沿った形式選択を行なう事で、訓練の有効性が高まります。

2. 訓練の範囲

BCPに沿って全ての訓練を行おうとすると、発生後の初動対応、業務継続のための暫定運用、復旧後対応までの長時間訓練となり、実施が難しい状況も想定されます。その場合は、初動対応のみの訓練など複数回に分けて実施する事で、気付きによるブラッシュアップを図りつつ訓練を行なう事ができます。

3. 訓練の実践

どのような形式、規模であれ、訓練の計画と実施、振り返りを行なう事が重要です。実際に訓練を行なう事で、BCPの方針や体制、手順の考慮不足に気づき、整備の取り組みが早まります。また、参加者の当事者意識が高まる事で議論の活性化につながります。訓練の積み重ねを通じて得るものは非常に大きいものです。

 

まとめ

私は、BIA、BCP策定、BCP訓練など、BCMのプロセスを実務で推進していますが、年々、BIAやBCPの精度・実効性の高まりを実感しています。1つに役職員のBCM自体の内容に対する理解度の向上、もう1つ、危機的状況はいつ起きてもおかしくないという危機感が高まった事が理由と考えています。

危機的状況がいつ訪れるかわかり得ない中で、どこまで準備しておけば良いかは企業事情によって様々です。しかし、例えば、南海トラフ地震が発生し、本社拠点が倒壊したとしても、企業は社会的責任を果たすために、事業を継続しなければなりません。

そのためには、役職員に対して定期的に、“危機的状況は起きるもの”、“起きた際に行なう事は何なのか”、“いつ起きても大丈夫”という認識と自信を持たせ、行動できる様にしておく必要があります。

企業活動における事業継続マネジメント(BCM)の重要性、BCMの適切な運用が事業継続計画(BCP)を効果的なものとする事を理解頂けたら幸いです。

皆さんも、初動の対応スピードを上げるためにも、是非、自社のBCM、BCPを今一度確認して見てください。

 

では、次回をお楽しみに。

 

※外部サイト【参考文献】:事業継続ガイドライン第三版 内閣府

※ITIL® is a Registered Trade Mark of AXELOS Limited.

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

千葉 由紀祐

株式会社IDデータセンターマネジメント テクニカルスペシャリスト

この執筆者の記事一覧

関連するナレッジ・コラム

地味に見えて優秀!マネージドプレフィックスリストでアドレス管理を効率化

DockerでJupyterLabの環境を作ろう

残された攻撃の痕跡を追え! ~Post-Exploitationで起きていること~